Bundestagsrede von 19.03.2009

Informationstechniken des Bundes

Wolfgang Wieland (BÜNDNIS 90/DIE GRÜNEN): Die Ära Schäuble wird als die Ära der neuen zentralen Überwachungs- und Kontrollbehörden in die Annalen eingehen. Das belegt auch dieses vorliegende Gesetz.

Bisher war das Bundesamt für die Sicherheit in der Informationstechnik vor allem für die Prüfung von IT-Strukturen, von Programmen und Geräten zuständig. Es hatte also vor allem eine forschende und beratende Funktion. In dieser Funktion hat das Amt auch weithin anerkannte Arbeit geleistet und zur Verbesserung der Sicherheit der Informationsverarbeitung im öffentlichen, aber auch im privaten Bereich viel beigetragen.

In seinem angestammten Bereich soll das BSI neue Kompetenzen bekommen. Es soll Warnungen zu bekannten Sicherheitsproblemen veröffentlichen, Vorgaben für IT-Systeme des Bundes machen und nationale Zertifizierungsstelle im IT-Bereich werden. Das ist im Prinzip zu begrüßen, denn eine Stärkung der IT-Sicherheit ist angesichts der Sensibilität der verarbeiteten Daten und des immer noch wachsenden IT-Einsatzes ein wichtiges Ziel. Aber schon hier stellen sich Fragen: Das BSI "kann" nach dem Entwurf Warnungen zu Sicherheitslücken veröffentlichen. Es sollte doch zumindest der Regelfall sein, dass es über solche Lücken informiert! Natürlich sind gewisse Ausnahmen und eine gewisse Flexibilität im Verfahren erforderlich - zum Beispiel zuerst den Hersteller zu warnen und eine Lösung zu entwickeln. Es fragt sich auch, warum der Rat der IT-Beauftragten der Ministerien eine so starke Rolle bekommen soll. Es muss doch selbstverständlich sein, dass Bundesbehörden in der Pflicht sind, die Vorgaben des BSI, die ja nicht leichtfertig gemacht werden, umzusetzen. Hier ist zu befürchten, dass ressorteigene Prioritäten allzu oft über die Sicherheitsbelange gestellt werden. Wenn man IT-Sicherheit ernst meint, ist das zu wenig.

Besonders kritisch müssen aber die neuen Analyse- und Überwachungskompetenzen des BSI gesehen werden. Das Amt erhält zur Gefahrenabwehr weitgehende Rechte, um die in der Kommunikation mit den Bundesbehörden anfallenden Daten zu analysieren. Aber da geht es nicht nur um harmlose Dinge, zum Beispiel um E-Mails von Bürgerinnen und Bürgern an Behörden. Hier weiß der Bürger, dass er mit dem Staat kommuniziert. Doch die Struktur des Internet ist so, dass die an den sogenannten Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten auch ohne jeden Zusammenhang mit den Bundesbehörden sein können. Die gutwillige Lesart ist: Hier wird eine automatisierte Auswertung vorgesehen - sprich, die Kontrolle eingehender Post durch Virenscanner. Wird etwas gefunden, darf der Absender identifiziert werden. Nur, wenn man genau das meint, dann muss man das auch so formulieren. Aber so wie es in diesem Entwurf steht, sind auch weit weniger harmlose Eingriffe möglich. Und wenn das gewollt ist, dann stimmt der häufig gemachte Vorwurf, dass hier eine allgemeine E-Mail-Überwachungsbehörde geschaffen werden soll.

Und selbst bei dieser gutwilligen Lesart gibt es reichlich Kritikpunkte: Warum werden die persönlichen Daten nicht pseudonymisiert? Wieso gibt es für die nicht-automatisierte Verarbeitung der persönlichen Daten keinen Richtervorbehalt? Wir sprechen hier immerhin vom Lesen persönlicher Post, es geht also potenziell um kernbereichsrelevante Inhalte! Und - ganz besonders fragwürdig - warum um alles in der Welt soll ausgerechnet das BMI berechtigt werden, in Zweifelsfällen zu entscheiden, ob der Kernbereich betroffen ist oder nicht? Da fällt kaum noch auf, dass auch die Benachrichtigung der Betroffenen viel zu lax gehandhabt wird.

Es fragt sich auch ganz generell: Warum wird in diesem Gesetz sehr wenig über die Pflicht der Behörden gesagt, zunächst die eigenen IT-Systeme optimal zu schützen? Denn ob Schadsoftware oder sonstige Angriffe wirken, hängt doch zuallererst davon ab. Da sollte es nicht die erste Maßnahme sein, den eingehenden Datenverkehr zu filtern, sondern die Angriffsfläche zu reduzieren. Dann sind auch viel weniger Abwehrmaßnahmen und Eingriffe in den Datenverkehr erforderlich! Die personenbezogenen Daten, die das BSI so erhebt, dürfen auch an Polizei- und Geheimdienstbehörden weitergegeben werden. Das Problem liegt darin: Die Schwelle ist hier viel zu niedrig gewählt! Denn es geht dabei nicht nur um schwere Verbrechen, sondern um jede Straftat, die mittels Telekommunikation begangen wird! Da wird dann aus der Behörde, die IT-Expertise sammeln sollte, endgültig eine Hilfsbehörde zur Strafverfolgung!

Neben diesen systematischen Mängeln springen zwei weitere Einzelpunkte ins Auge: Warum werden manche unabhängigen Bundesbehörden wie das Bundespräsidialamt und der Rechnungshof ausgenommen - der ganz besonders auf vertrauliche und integere Kommunikation angewiesene Bundesdatenschutzbeauftragte aber nicht? Schließlich enthält das Gesetz eine Änderung des Telemediengesetzes, die es Dienstanbietern erlaubt, Nutzungsdaten über die normalen Zwecke hinaus zu speichern und zu verarbeiten, auch wieder begründet mit der Abwehr von Schadprogrammen und Ähnlichem, aber auch wieder zu weit und zu offen formuliert. Denn so, wie es jetzt im Entwurf steht, ist auch die Erstellung von Surfprofilen möglich.

In dieser Form ist das Gesetz abzulehnen. Es hat zu viele Lücken und bietet unzulänglichen Schutz für die Bürgerinnen und Bürger.

275945